暗号化した添付ファイルとパスワードを別々のメールで送ればセキュリティ的に固くなるという都市伝説

なんか今さらのように「暗号化した添付ファイルとパスワードを別々のメールで送っても意味ない」みたいな話が出回っているけれど、いやそれ昔から言われてたし今さらじゃね? ってちょっと思った話。

別々に送ったところで、情報漏えいしなくなるわけじゃないし、個人情報が守られるとか、セキュリティ的に固くなるとかいうわけじゃないですよ。メールの情報が漏れるときは、送ったメールぜんぶ漏れるから。(笑) 添付ファイルつきのメールだけ漏れて、パスワードを書いたほうが漏れないなんてことが起こり得ると思いますか? まぁよっぽど運の悪いクラッカーならそういう事態に引っ掛かるのかもしれないけど…。

多少なりともセキュリティ的に固くしたいのなら、暗号化された添付ファイルのパスワードは、メール以外の方法でやりとりしないとだめです。電話とか、FAXとか、書面で事前に決めておくとか。

でもまぁそんなのもぶっちゃけ無駄です。
ちょろっとした圧縮ソフトでつけた程度のパスワードなんて、パスワード解析ツールで一瞬で破れます。 (つーかネット上にふつうにそのツール落ちてます…凄腕ハッカーとか要らないレベルです・笑)

インターネット上は公道みたいなものなので、そこを流れる情報に秘密はほぼないです。
本当に漏洩しては困る情報は、メールなんぞでやり取りしてはいけないのです。
これ常識。

認証機能つきのオンラインストレージを使ってやりとりして、そこへのアクセスログも監視するくらいは最低限ですが、ぶっちゃけオンラインでやりとりする限り穴は完全に防げないです。

最高レベルの機密情報だったら、昔ながらのハンドキャリー(オフライン)が一番固いと思う。





ちなみに、「パスワードを定期的に変更すべきではない」というのも、わりと昔から言われている業界の常識だったりします。セキュリティ監査の時に指摘されるから定期的に変更するルールにしてるけど、一部のシステムを除けばパスワードの定期変更にはあんまり意味がない。

パスワードを定期変更して意味があるのは、たとえばサーバのログインパスワード。
メンテする人が退職したり担当を外れたりするし、外部から来た業者がログインすることもある。だからパスワードは定期的に変更して、以前の担当者は入れなくする必要がある。

個人のパソコンにログインするパスワードなんてのは、ぶっちゃけ定期変更するほうが害がありますよ、パスワード覚えられなくて付箋に書いて机に貼ったりする人がいるから(笑)

あと、オンラインバンクからのお知らせを装ったフィッシングメールで、「パスワード切れそうだから変更してね、URLはココ」みたいなメールに引っ掛かった人もいましたかね。
ぶっちゃけ最近は弊害も多いので、世の中は、パスワードの定期変更は強制じゃない方向になりつつあると思います。